Große PROCESS-Umfrage Security-Konzepte in Automatisierungs-Systemen – wer kümmert sich?

Autor / Redakteur: Dipl.-Ing. Sabine Mühlenkamp / Dr. Jörg Kempf

Selten war das Interesse an einer Umfrage so hoch, wie bei unseren Fragen bezüglich Security in der Automatisierung. Allerdings waren auch selten die Antworten so ernüchternd. Anscheinend verschließen viele Betreiber vor diesem Thema die Augen und hoffen, dass die Gefahr doch nicht so groß ist. Gibt es in der Prozessindustrie keine Experten, die sich mit diesem Thema auseinandersetzen wollen? Oder bleibt einfach keine Zeit, sich im Betriebsalltag mit dem komplexen Thema zu beschäftigen?

Firmen zum Thema

(Bild: © Maksim Kabakou - Fotolia)

Es begann mit einer aufgeregten IT-Abteilung, die – bedingt durch den Umfragestart – bis dahin unerreichte Zugriffszahlen auf unseren Webserver meldete. Schlagwörter wie Security, Schadsoftware oder Gefahr reichen in der virtuellen Welt aus, um ein Thema ganz schnell nach oben zu bringen. Auf den Hype folgte allerdings schnell die Ernüchterung: Alle Fragen zu beantworten, trauten sich nämlich nur etwas mehr als 50 Anwender zu. Und auch in diesen Antworten wurde schnell deutlich, dass die Cyber-Security-Welt den Weg in den betrieblichen Alltag von Anwendern in der Prozessindustrie offenbar noch nicht gefunden hat.

Konkrete Antworten, wie etwa ein Security-Konzept in der Prozessautomatisierung aussehen muss, scheint es auf Anwenderseite bisher kaum zu geben. Dies mag daran liegen, dass Security-Maßnahmen nicht immer mit der Prozesswelt in Einklang zu bringen sind. So sind zwar Mittel wie die Autorisierung, Firewalls oder Application Whitelisting im Gebrauch und machbar, aber bereits das Aufspielen von Patches, das meist ein Herunterfahren des Systems und damit unter Umständen der ganzen Anlage bedeutet, erweist sich in der Praxis als schwierig.

Bildergalerie
Bildergalerie mit 10 Bildern

Es ist aber nicht nur ein Problem der Technologie, wie die Antworten zeigten. So sieht zwar über die Hälfte der Befragten eine mittlere Bedrohung durch Schadsoftware (also Viren, Malware, Trojaner usw.). Rund ein Viertel der User unserer Online-Umfrage beurteilt die Gefahr jedoch nur als gering, und immerhin zehn Prozent sind sich überhaupt keiner Gefahr bewusst. Dabei ist die Bedrohung durch Angreifer nicht von der Hand zu weisen, wie Martin Schwibach, BASF, auf der Namur-Hauptsitzung 2013 eindringlich warnte: „Es gibt einen deutlichen Anstieg von gemeldeten Zwischenfällen seit Stuxnet im Juli 2010. Vor allem kritische Infrastrukturen wie Energie und Wasser stehen dabei im Fokus.“

Und es ist auch nicht so, als wären Ausfälle bei unseren Befragten unbekannt. In der PROCESS-Umfrage war gut die Hälfte der Unternehmen schon einmal von Schadsoftware betroffen. Angesichts der Tatsache, dass Experten von 403 Millionen neuen Malware-Varianten ausgehen, ist diese Zahl nicht verwunderlich. Die Auswirkungen waren jedoch unterschiedlich. So wurde als häufigster Schaden ein Absinken der Verfügbarkeit genannt. Gefolgt von einem sehr hohen Aufwand, um das System wieder herzustellen. Interessant ist, dass das Thema Datendiebstahl oder Datenverlust (im Privatbereich Sorge Nummer 1) nicht so folgenschwer bewertet wurde. Dennoch: Eine Branche, die Verfügbarkeit von Anlagen normalerweise als oberste Priorität nennt, sollte angesichts dieser Ergebnisse wachsam bleiben.

Die Umfrage zeigt, dass die Vernetzung von Automatisierungssystemen zumindest in der Prozessindustrie längst an der Tagesordnung ist – und das bereitet Sorgen. Lesen Sie weiter auf der nächsten Seite.

Vernetzung bereitet Sorgen

Die Umfrage zeigt, dass die Vernetzung von Automatisierungssystemen zumindest in der Prozessindustrie längst an der Tagesordnung ist. Während ein Viertel der Befragten mit der überschaubaren Anzahl von vier Automatisierungssystemen zurechtkommt, sind es in einem guten Drittel der Unternehmen mehr als 20, die alle miteinander vernetzt sind. Um die Security-Aufgaben innerhalb dieser Systeme kümmert sich bei den meisten Befragten deren IT-Abteilung. Erst dann folgen die technische Betreuung, die Operation-Abteilung und zuletzt der Hersteller.

Bildergalerie
Bildergalerie mit 10 Bildern

Immerhin: Zwischen Wunsch und Wirklichkeit, also zwischen den Maßnahmen, die eingesetzt werden und die unsere Umfrageteilnehmer für sinnvoll erachten, scheint es kaum Differenzen zu geben. Ganz oben auf der To-Do-Liste stehen mit großem Abstand Netzwerktrennung und eine Firewall. Dann folgen Passwortschutz, Virenscanner und User Account Management.

Eine Kluft wurde jedoch sichtbar. Die Teilnehmer halten die Vermeidung von Vernetzung für eine äußerst sinnvolle Maßnahme und konkretisierten ihre Wünsche dahingehend, dass auf potenziell leicht angreifbare Technologien wie OPC oder WLAN verzichtet werden sollte. Außerdem wurde die Einführung eines Security-Prozesses empfohlen, ebenso ein spezieller Zugriffsschutz, etwa die gezielte Freischaltung bei Safety-Systemen.

Anwender ohne Lösung?

Auf die Frage, wie ein Automatisierungssystem sicherer gestaltet werden kann, hat ein Drittel keine Lösung, ein weiteres knappes Drittel unserer Umfrageteilnehmer schlägt den Verzicht auf Windows vor, während ein großer Teil der Meinung ist, dass all diese Maßnahmen nicht helfen, sondern dass Automatisierungssysteme grundsätzlich neu gestaltet werden müssen.

Zentraler Aspekt dabei ist, dass Automation Security ein Designziel für Hersteller, Integratoren und Anwender werden muss. Einen ähnlichen Ansatz verfolgt die Namur, die seit 2006 Best-Practice-Lösungen sammelt, um diesbezüglich eine Richtung vorzugeben. Auch die Anwender in unserer Umfrage fordern herstellerübergreifende Absprachen bezüglich IT-Security-Mechanismen, z.B. um Ersatz zu NSA-beeinflussten Standards zu schaffen (z.B. Curve25519/ Ed25519 an Stelle von ECDSA und ECDH auf Basis der von der NSA vorgeschlagenen Kurven).

Auch gilt zu bedenken, dass theoretisch Schadsoftware bereits in die System-Software eingebracht werden kann. Daher soll auf Basis einer Riskobewertung und im Speziellen durch Trennung der Safety-Funktionen für Sicherheit (Personen-, Anlagen- und Verfahrensschutz sowie Schutz wertvoller Güter) gesorgt werden. Auch über eine Trennung zwischen Office- und Automatisierungssystemen wurde offen diskutiert.

Wem schenken die Anwender ihr Vertrauen, wenn es um Security geht? Hoppla: den eigenen IT-Abteilungen offenbar am wenigsten! Mehr auf der nächsten Seite.

Gemeinsam die Aufgaben lösen

Das meiste Vertrauen schenken die Umfrage-Teilnehmer dem Bundesamt für Sicherheit in der Informationstechnik (BSI), gefolgt von der Namur. Den eigenen IT-Abteilungen traut man diese Aufgabe offenbar am Wenigsten zu. Generell glauben die Teilnehmer, dass diese Aufgaben nur gemeinsam von Herstellern, Verbänden und Anwendern zu lösen sind.

Tipp der Redaktion: Netwars – Krieg im Netz, eine Dokumentation auf Arte (lief am 15. April 2014). Im Zeitalter des Cyberkriegs ist die moderne Industrietechnik in Gefahr, denn ihre digitale Technologie hat zahlreiche Schwachstellen. Unsere gesamte Infrastruktur ist inzwischen komplett automatisiert und vernetzt. Das rächt sich nun, denn die „Netwars“ sind bereits voll im Gange …

Ein erster Schritt in diese Richtung scheint gemacht. So steht die Namur in engem Kontakt mit dem BSI, DKE und ZVEI – eine Namur-Empfehlung (NE) ist in Arbeit. Bis diese Forderung umgesetzt werden kann, sind allerdings noch einige Hausaufgaben zu erledigen. Allen voran wird mehr IT-Kompetenz bei Leitsystem-Herstellern, aber auch bei Betreibern und Engineering-Planern und Herstellern gefordert.

Die größten Herausforderungen sehen Anwender in der Komplexität und Systemvielfalt. Dicht gefolgt vom fehlenden IT- bzw. Security-Know-how der Automatisierungshersteller und von der Tatsache, dass bereits vorhandene Fehler aus der Vergangenheit schwer zu korrigieren sind. Beispielhaft soll das folgende Zitat eines Teilnehmers genannt werden: „Alle wollten Windows als Betriebssystem für Automatisierungssysteme, jetzt kämpft man mit den Folgen, wie die offenen Schnittstellen.“

Ausblick

Die Umfrage zeigt jedoch deutlich, warum das Thema Security in der Prozessautomatisierung noch nicht tiefer im Bewusstsein der Anwender angekommen ist. „In der Praxis dauere die Integration von Maßnahmen immer noch zu lange“, gab ein Teilnehmer zu bedenken. Dies sei auch der Tatsache geschuldet, dass es zu wenige Ressourcen gäbe, um sich im Alltagsgeschäft um das Thema zu kümmern. „Bei den Anlagenbetreibern hat das Thema schlicht zu geringe Priorität – bis dann mal was passiert“, lautete das ernüchternde Fazit eines der Befragten.

* Die Autorin ist freie Mitarbeiterin bei PROCESS.

(ID:42576437)